Почему уменьшается MTU IPIP-туннеля?

Question

[Александр]

Добрый вечер!

Есть физический домашний MikroTik hAP AC и RouterOS, установленная на далёкий VPS. Так как дома IP-адрес серый и находится за NAT'ом, то нормальный транспортный site-to-site IPsec сделать невозможно, пришлось создать на каждом по виртуальному интерфейсу с /32 и между ними натянуть микротиковский IPsec-туннель (первая фаза завязалась на внешних адресах, а на второй просто шифрую весь трафик между виртуальными интерфейсами).

Но тут я столкнулся с таким приколом, что IPIP-туннель, натянутый уже между этими виртуальными интерфейсами, с стороны дома быстро уменьшает собственный MTU до 68 байт. С другой же стороны уверенно держится 1418 байт. Пинги ходят, трафик ходит, но очень туго. Нагрузка на CPU домашнего роутера в районе 5-15%, VPS-ному вообще пофиг, там около 0-2%.


Что может так влиять на механизм определения MTU и почему итоговый MTU такой крошечный? Можно, конечно, выставить вручную, но связь лучше не становится (при этом пинги пакетами с размером = MTU и параметром do-not-fragment проходят, проверил).

Comments

[shurshur]

Что инкапсуляция уменьшает MTU это вообще-то не секрет. IPSec (ESP tunnel) тоже так делает. Ведь часть пакета используется под дополнительные данные туннеля.

[Александр]

shurshur, не до 68 байт же. Причём на другом конце туннеля такого не происходит, вот что самое интересное.

[shurshur]

Александр, эм... я думал что уменьшается НА 68 байт.

Что это там за механизм, который mtu уменьшает? Я всегда думал, что mtu задают интерфейсу жёстко.

[Александр]

shurshur, вот и я в недоумении. Пробовал заменть IPIP на GRE, дома MTU тоже в итоге установился меньше, чем "не дома", но в разумных пределах, что-то около 1280.
Жёстко я задал 1360, но мне интересны предпосылки, почему Микротик в результате каких-то вычислений скатывается до значения в 68.

[shurshur]

Александр, я на микротике кроме wireguard ничего не настраивал. На Linux настраивал gre (с ipsec и без), ipip не пробовал, не было нужды, может в нём какой-то mtu autodiscovery предусматривается?

Обычно ipsec всё же используют с gre. Возможно, просто по причине поддержки всякими цисками.

[Александр]

shurshur, GRE более универсальный, да, но там, по сути, разницы нет, даже настраиваются одинаково.

Answer 1

[jzyken]

Вероятно, у вас настроен маршрут к удалённому концу туннеля через интерфейс этого же туннеля.

Comments

[Александр]

Действительно, маршрут такой был, видимо, я его добавил для управления по петлевому адресу. MTU восстановился, понаблюдаю за работой, спасибо!

[UncleGringo]

Спасибо, тоже самое было!

[UncleGringo]

jzyken простите, а как сделать чтобы оба конца IPIP туннеля были из одной сети ?
Например
Host1: 10.0.10.1/30
Host2: 10.0.10.2/30

чтобы когда пути прописываю на host2 можно было указывать gateway 10.0.10.1

[jzyken]

UncleGringo, не понимаю задачу. Gateway прописывается такой, от которого host2 сможет получить ARP ответ. Если 10.0.10.1 находится через IPIP туннель на роутере возле host1, то туда ARP запрос не дойдёт.

Answer 2

[Keffer]

Уходите от технологии ip-ip и используйте православный mpls\vpls там никаких проблем этих нет, свойственных туннелям.

Comments

[Александр]

Это очень интересные технологии, но я их знаю слабо, да и не слишком ли из пушки по воробьям? У меня простой домашний VPN.

[shurshur]

Александр, кстати, в RouterOS 7.1 есть поддержка wireguard.

[Александр]

Не думаю, что он мне подходит, мне хочется не клиент-сервер, а полноценное туннельное сообщение с маршрутизацией, возможно, динамической в будущем.

[Keffer]

Александр, VPLS это L2. А на L2 можно крутить все что угодно, без ограничений. Маршрутизацию и прочее.